» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

anton04
Подразумевается определенный протокол, но оказалась проблема не в этом. Все пользователи через ИСУ выходят в инет с определенного IP адреса прописанного на WAN интерфейсе, который определяется как внешний IP. Как создать правило, чтоб при выходе в инет был другой IP адрес? То есть по http протоколу один IP, а по другим протоколам другой.

JekaRus


Цитата:

Подразумевается определенный протокол, но оказалась проблема не в этом. Все пользователи через ИСУ выходят в инет с определенного IP адреса прописанного на WAN интерфейсе, который определяется как внешний IP.

Логично в общем.


Цитата:

Как создать правило, чтоб при выходе в инет был другой IP адрес?

Никак, у исы есть только NAT и роутинг. Если не знаете что такое откройте исовский help.


Цитата:

То есть по http протоколу один IP, а по другим протоколам другой.

Интересно, а как как вы это себе представляете!? Откуда иса возьмёт ещё один внешний IP!? выдумает что-ли?

anton04

Цитата:

Интересно, а как как вы это себе представляете!? Откуда иса возьмёт ещё один внешний IP!? выбумает что-ли?

У меня на внешней сетевой прописано более десятка IP адресов.

JekaRus
Какое-то количество страниц назад я давал ссылочку на BindTo
Не без ограничений, но вполне рабочее.

Проблема с падением службы Firewall на ISA 2006 sp1 (5.0.5723.514)+HotFixes from WSUS, Windows Server 2003 EE sp2+HotFixes from WSUS. Пользователей до 1000, одновременный сессий ~500, суточный размер логов доходит до 1-1,5Гб.

При этом следующие ошибки:
1. Event ID:14057. The Firewall service stopped because an application filter module C:\WINDOWS\system32\wdigest.dll generated an exception code C0000005 in address 74108183 when function CompleteAsyncAccept was called. To resolve this error, remove recently installed application filters and restart the service.

2. Event ID:1000. Faulting application wspsrv.exe, version 5.0.5723.514, stamp 4a06e592, faulting module wdigest.dll, version 5.2.3790.4530, stamp 4a3742b4, debug? 0, fault address 0x00008183.

3. Event ID:14176. Disk cache D:\urlcache\Dir1.cdat failed to initialize. Some errors were encountered when ISA Server restored specific data cache files. ISA Server will now attempt to recover these files. These errors may have occurred because there was not enough time to complete all necessary shutdown operations, when ISA Server was previously shut down. To avoid this in future, you can increase the value of the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WaitToKillServiceTimeout registry key. Identify the reason for cache failure by examining previous recorded events, or the error code. Check that the disk is connected and that it is not corrupt. (Internal code: 503.7365.5.0.5723.514) - это испортился кэш из-за падения службы.

Аналогичная проблема обсуждалась здесь Ссылка
но решение никто не описал.

Кто нибудь решал такую проблему?

zvcom
у вас логи куда пишет? попробуйте логирование на время отключить или перенаправить на другой сервер.
у меня были сходные глюки, перешел на логирование в отдельно стоящий mssql сервер, заработало.

zvcom
а допустим (когда нагрузки нет) в выходные как себя ведет иса?

соратники! )
подскажите кто как аську-скайп блочит?

по политикам компании icq (скайп) разрешена только тем кому нужна по работе.
5190 и сервера аськи заблочены для всех, кроме указанных пользователей.
если в клиенте аськи прописать проксю - то квип или еще кто там, прекрасно лезет через 80 и 443 порт который открыт для всех
аналогичная фигня для скайпа.
понятно что траффик шейпится и считается, но толку от этого мало - политика компании не выполняется.

пока работает костыль в виде блока серверов аськи и скайпа по ip. но эти сервера необходимо мониторить и постоянно уделять этому внимание, тоесть затыкать дыры.

Логи пишутся в текстовый файл на другом диске.

Когда нагрузки нет служба вроде не падает.

Всем доброго времени суток.
Я тут пытаюсь настроить Fotrefornt TMG 2010... в общем вылезла проблема, решение которой найти не могу уже 4-ый день. Суть проблемы в том, что ни с того ни с сего стали тормозить браузеры по конторе... вроде бы с ISA 2006 очень долго проработал, но подобных проблем ни разу не встречал.
При попытки открыть любой сайт долго происходит поиск, далее ожидание и в итоге ооочень долго загружается содержимое - это в лучшем случае..
Зачастую, что бы открыть сайт, приходится обновить страничку несколько раз, так как выходит сообщение о невозможности установки связи с ресурсом.
Может быть кто-нибудь сталкивался с подобной проблемой и сможет меня хотя бы направить в нужную сторону... ???

Сильные тормоза появляются если проблемы с DNS, может что-то с DNS не так?

Добавлено:
Может мне тоже пора переходить на TMG...
Возможно ISA уже достигла предела производительности.
Хотя нагрузка на процессор небольшая, и памяти хватает... но эта нестабильность...

zvcom
не факт. насчет перехода.

на технете примерные проблемы люди обсуждали как-то давно.

http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/b533a7df-1d48-41d0-ab6f-abea4a523e41

Цитата:

Сильные тормоза появляются если проблемы с DNS, может что-то с DNS не так?

А что там может быть не так?
Стоит ОС W2K8 R2 Ent, на нем AD и DNS c DHCP.
Ошибок в DNS нету, журнал почти пустой. Записи создаются и удаляются.

zvcom


Цитата:

Логи пишутся в текстовый файл на другом диске.
 
Когда нагрузки нет служба вроде не падает.

настройте мониторинг дисковой подсистемы на исе (по отдельным дискам)

в момент падения службы посмотрите что происходило на дисках - у меня были явные дисковые очереди к логам и видимо ввиду того что иса не могла записать событие - грохалась служба.
примерно так. но это мой случай, возможно ваша причина в другом.

Johny_x3mal
Если запросы DNS на клиентах и сервере отрабатываются быстро, то все нормально. Если нет будут тормоза. Это хотел сказать.

Johny_x3mal
у вас как натсроены правила?всем как анонимусы или fwc?

bahtey
Спасибо.

Вот еще здесь обсуждали такие же проблемы Ссылка

zvcom
быстро

Johny_x3mal
Я сам сталкивался с такой проблемой - разрешение внешних имен происходило с тормозами и приводило к тормозам при загрузке страниц.

bahtey
для всех пользователей

Добавлено:
zvcom
А как решил эту проблему?

Johny_x3mal

Ну это совсем другая проблема... связанная с прохождением DNS-запросов через Firewall. Пустили DNS сервер в интернет через другой Firewall.

Я тут заметил некую особенность... у меня DNS не проходят с первого раза, как минимум со второго:


C:\>nslookup rambler.ru
╤хЁтхЁ: nnserver.uvg.local
Address: 192.168.2.25

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса nnserver.uvg.local

C:\>nslookup rambler.ru
╤хЁтхЁ: nnserver.uvg.local
Address: 192.168.2.25

Не заслуживающий доверия ответ:
DNS request timed out.
timeout was 2 seconds.
╚ь : rambler.ru
Address: 81.19.70.3


C:\>nslookup rambler.ru
╤хЁтхЁ: nnserver.uvg.local
Address: 192.168.2.25

Не заслуживающий доверия ответ:
╚ь : rambler.ru
Address: 81.19.70.3

Глупый вопрос- вот провайдер дает айпи, я втыкаю его в ису, и через инет с другого компа
я могу этот айпи пингануть? или иса его спрячет?

Johny_x3mal

У тебя тормозит точно из-за DNS. У меня так же было.
Нужно разбираться с DNS. Внутренний DNS-сервер как обращается в Интернет?

Добрый день.
Никто не посоветует как icq и скайп резать на isa2006? Проксируют траффик через 80 и 443 порт и поехали.

zubastiy
Режь по IP. Только их тоже много. Если подключатся запускай в консоли netstat, смотри на какой IP/хост сели и добавляй в правило.

Коллеги, помогите пожалуйста с задачей, связанной с TMG, которую я вынес в отдельную тему: Маршрутизация в локалку с нескольких провайдеров

AQAQ
Глупый Можешь

avital
спасибо, но никто не гарантирует появления новых и новых айпи.
сидеть и обновлять ... нет где обновляемых списков аськосерверов аля спам-листов? )))))

Всякие аськи и тп нужно запрещать GP, естественно если есть AD. Никаких других методов у ISA нет. Так что выбирай, но осторожно, но выбирай (с) М. Жванецкий.